La transformación digital en Perú avanza a gran velocidad, y con ella también crecen los riesgos asociados al manejo de los datos personales. Por ello a este contexto, el nuevo Reglamento de la Ley N.º 29733, que entró en vigor el 30 de marzo de 2025, marcando un punto de inflexión para las organizaciones peruanas.
Además los expertos Erick Iriarte, especialista en derecho digital, y Alberto Juárez, vicepresidente global de verificación de identidad y servicios de confianza en Sovos, mencionan que cumplir con estas regulaciones ya no es solo una obligación legal, sino una decisión estratégica que protege su reputación y la confianza de sus clientes en un entorno digital cada vez más exigente.
Oficial de datos personales: figura clave en la nueva era digital
Uno de los principales cambios que introduce la nueva normativa es la exigencia de contar con un Oficial de Datos Personales (ODP), responsable de supervisar el cumplimiento normativo y gestionar incidentes relacionados con la seguridad de la información. Este cargo debe estar formalmente designado y puede integrarse desde áreas como legal, tecnología.
Los plazos para incorporar a esta figura varían según el tamaño de la empresa, medido en Unidades Impositivas Tributarias (UIT):
- Grandes empresas (más de 2,300 UIT): hasta el 30 de noviembre de 2025
- Medianas empresas (entre 1,700 y 2,300 UIT): hasta el 30 de noviembre de 2026
- Pequeñas empresas (150 a 1,700 UIT): hasta el 30 de noviembre de 2027
- Microempresas (menos de 150 UIT): hasta el 30 de noviembre de 2028
No designar a un ODP en el plazo establecido puede generar sanciones de entre 0.5 y 5 UIT. Más allá de la multa, esta omisión puede traer consecuencias significativas, ya que el ODP también será corresponsable en caso de incumplimientos normativos.
¿Qué deben hacer las organizaciones que manejan los DP?
A partir del primer semestre de 2025 deberán:
- Notificar incidentes de seguridad a la Autoridad Nacional de Protección de Datos Personales (APDP) en un plazo máximo de 48 horas. Si el incidente ocurre en un entorno digital, también debe informarse al Centro Nacional de Seguridad Digital.
- Informar a los titulares de los datos cuando sus derechos hayan sido vulnerados.
- Implementar medidas de seguridad reforzadas, especialmente al tratar con datos sensibles.
- Atender el derecho a la portabilidad de los datos en tiempo y forma.
- Realizar evaluaciones de impacto (aunque estas son facultativas, pueden servir como atenuantes en caso de una sanción).
Las multas por incumplimiento varían entre 0.5 y 50 UIT, según la gravedad. Por ejemplo, no notificar un incidente grave puede costar hasta 50 UIT. Además, la falta de documentación interna sobre la gestión del incidente puede considerarse una obstrucción y agravar la sanción.
¿Qué figura debe tener el Oficial de Datos Personales (ODP)?
Erick Iriarte explicó que el ODP debe ser un profesional capacitado que actúe como punto de contacto entre la empresa, la autoridad reguladora y los titulares de datos. Puede pertenecer al área legal, tecnológica y su designación debe ser formalmente documentada por la organización.
“El Oficial no solo debe responder solicitudes o incidentes, sino también promover políticas internas, evaluaciones de riesgo y capacitar al personal. Puede ser interno o tercerizado, pero tendrá responsabilidad funcional en caso de incumplimiento”, agregó el experto.
Prácticas para evitar sanciones por filtración de datos personales
Alberto Juárez destacó que el principal reto para las empresas es lograr un equilibrio entre seguridad y protección de datos con experiencia del usuario.
“Una buena estrategia de protección de datos debe partir desde la concepción del producto. Se debe tener presente que cada dato que el usuario comparte es una llave de su identidad. Por ello, la privacidad no es un valor agregado, sino el núcleo sobre el cual debemos forjar la tecnología que nos permitirá identificarnos en una comunidad digital segura”, enfatizó.
Además, las recomendaciones claves para proteger adecuadamente los datos personales y evitar sanciones o daños reputacionales:
- Autoevaluación y mejora continua: Realizar auditorías periódicas, aplicar estándares como ISO 27001 e identificar vulnerabilidades antes de que sean explotadas. La clave está en la prevención, la autoevaluación constante y la adaptación a nuevas amenazas.
- Educación y capacitación: El cumplimiento normativo debe verse como una necesidad fundamental y el pilar para crear una cultura de seguridad digital, formando a empleados, aliados y clientes sobre los riesgos y buenas prácticas en la protección de datos.
- Minimización de datos personales: Recoger solo la información estrictamente necesaria para la operación de la empresa. Evitar almacenar datos sensibles sin una justificación clara.
- Transparencia en el manejo de datos: Redactar políticas de privacidad claras, simples y accesibles. Es esencial que el usuario comprenda por qué se recopilan sus datos, cómo se protegen y qué implicaciones tiene compartirlos.
- Colaboración multisectorial: Trabajar con el Estado, gremios y ciudadanos para fortalecer un ecosistema digital seguro. Notificar intentos de fraude y compartir información sobre ataques para mejorar la defensa colectiva.
- Cambio de mentalidad: Las empresas deben dejar de ver la seguridad como un costo y empezar a considerarla una inversión en confianza y reputación.
Finalmente, tanto Iriarte como Juárez mantuvieron la idea de que el nuevo entorno regulatorio peruano requiere madurez digital, liderazgo corporativo y una cultura de ciberseguridad transversal. Ya no basta con cumplir lo mínimo: se exige proactividad, transparencia y responsabilidad.